He encontrado una vulnerabilidad de inyección de macro agradable en una funcionalidad de exportación de Excel. Puedo inyectar = 1 + 1 (o peor) en el archivo de Excel exportado.
Pero al abrir el archivo en Excel, la fórmula no se evalúa directamente al inicio, se muestra como texto. Solo después de que alguien haga doble clic en la celda y presione la tecla enter, se evalúa la fórmula y el contenido de la celda cambia a 2 (o se inicia el cálculo según la carga útil).
Solo tengo acceso a las versiones "más nuevas" de Excel (2010 y 365). Las versiones de Excel que probé tienen la evaluación automática de funciones (por lo que normalmente una función se evalúa directamente). Las instalaciones son instalaciones predeterminadas, no super seguras.
Creo que esto sigue siendo una vulnerabilidad que debe solucionarse, pero si solo funciona cuando un usuario hace algo estúpido, el riesgo sería algo como Medio. Si bien se ejecutaría directamente al abrir el archivo (con una ventana emergente o lo que sea), sería una vulnerabilidad crítica que debe resolverse lo antes posible.
Mi pregunta es: ¿Es esto algo que hacen todas las versiones de Excel? (mostrando la fórmula en texto y no evaluando automáticamente). ¿O seguiría siendo crítico en versiones anteriores, pero las nuevas versiones necesitan más aportaciones del usuario?
Pregunta de bonificación: ¿Alguien tiene ahora una carga útil que sobrescriba esta funcionalidad molesta "no evaluar en el inicio"?
EDIT: Ok, después de un comentario de schroeder, entiendo que esto podría no interpretarse como puramente de seguridad. Entonces, concentrémonos en esta parte del exploit: ¿Cómo podría aprovechar esta vulnerabilidad para hacer un exploit? ¿Hay formas de engañar a las personas para que hagan clic en las celdas y evalúen las funciones?